李云舒等：《网络安全标准实践指南》解读及合规建议

以下文章来源于威科先行，作者李云舒、王凌光

威科先行.

威科先行法律信息库由威科集团打造，可满足客户高效获取权威信息、精准决策的需求。威科服务着众多知名律所、企业、高校等组织，十余款热门产品涵盖了境外投资、反垄断、反商业贿赂、网络安全、金融合规、国企合规、知产、税法、劳动法、环保合规和并购重组。

2024年9月18日，全国网络安全标准化技术委员会（“信安标委”）发布了TC260-PG-20244A《网络安全标准实践指南——敏感个人信息识别指南》（“《识别指南》”），旨在指导各组织识别敏感个人信息范围，为敏感个人信息处理、出境和保护工作提供参考。《识别指南》为《中华人民共和国个人信息保护法》（“《个人信息保护法》”）第28条第1款规定的敏感个人信息提供了实践指引；同时，相比于之前在个人信息保护合规实践中起着重要指导作用的推荐性国家标准GB/T 35273—2020《信息安全技术 个人信息安全规范》（“《个人信息安全规范》”》，《识别指南》在很多方面有所变化。本文对《识别指南》的主要变化、后续影响进行解读并提出合规建议。

一

敏感个人信息的定义及识别规则

（一）定义：从“可能”到“容易”

与其他法域关于“敏感个人信息”（sensitive personal information）[1]或者“特殊类型的个人数据”（special categories of personal data）[2]的立法思路相似，《个人信息安全规范》[3]《个人信息保护法》均从个人信息被泄露后可能造成的危害的角度来界定敏感个人信息。前者将危害后果分为两个层次：对于“危害人身和财产安全”的后果而言，仅仅“可能”就足以认定为“敏感”；对于“导致个人名誉、身心健康受到损害或歧视性待遇”的后果而言，需要“极易”才构成“敏感”。《个人信息保护法》（二审稿）将这一或然性要求统一为“可能”，但考虑到这种界定方式可能导致实务中对敏感个人信息界定的泛化，在正式稿中，为了强调不当使用产生风险的可能性较高才构成敏感个人信息[4]，将“可能”调整为“容易”。《识别指南》延续了《个人信息保护法》中的定义。

（二）识别规则：单项识别+综合判断+法规规定

尽管《个人信息保护法》规定了敏感个人信息的定义，但并未明确敏感个人信息的识别规则，而《识别指南》在前者的基础上规定了“单项识别+综合判断+法规规定”的识别规则。

1. 单项识别

根据《识别指南》第3条a）和b），判断单项个人信息是否属于敏感个人信息的方法有两个路径，一是风险判断，二是示例对照。

2. 综合判断

根据《识别指南》第3条c），既要考虑单项敏感个人信息识别，也要考虑多项一般个人信息汇聚或融合后的整体属性，分析其一旦泄露或非法使用可能对个人权益造成的影响，如果符合 a）所述条件，应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。

同时，根据《识别指南》第3条b），即使某项个人信息属于《识别指南》附录A中所列举的个人信息字段，但如有充分理由和证据表示处理的个人信息达不到a）中条件的，可不识别为敏感个人信息。

3. 法规规定

根据《识别指南》第3条d），法律法规规定为敏感个人信息的，从其规定。在《个人信息保护法》通过之前，我国其他的法律法规规定了一些特定类型的个人信息应当受到更为严格的保护。例如，《征信业管理条例》第14条规定：“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。”有学者认为，该条所列举的实际上就是敏感的个人信息[5]。此外，一些部门规章和标准文件中明确区分了敏感与非敏感的个人信息。如，2021年3月15日国家市场监督管理总局颁布的《网络交易监督管理办法》第13条第2款规定：“网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式，强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的，应当逐项取得消费者同意。”从内容来看，前述规定所列举的敏感个人信息内容基本已经被《个人信息保护法》所涵盖；未来如果有其他法律法规规定了《个人信息保护法》所未曾包含的敏感个人信息的类型或字段，则应识别为敏感个人信息。

二

常见敏感个人信息类型

在《个人信息保护法》第28条第1款规定的基础上，《识别指南》第4条及附录A将敏感个人信息分为生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人的个人信息以及其他敏感个人信息八个类别，并分别列举了常见的示例。相比于《个人信息安全规范》附录B表B.1的举例，《识别指南》规定的更为细致，且在总体上有所限缩。以下结合《个人信息安全规范》《识别指南》（征求意见稿）和《识别指南》（正式稿）逐项进行对比和解读。

（一）生物识别信息

生物识别信息，也称“个人生物特征”“个人生物识别信息”，由于其具有不可更改性和直接识别性等特性，生物识别信息往往可以直接定位到个人。实践中，生物识别信息面临多样化的风险，关于人脸、指纹等地下非法交易层出不穷；人种生化特征亦可被用来研发基因武器，产生具有特定族群针对性的致病菌。2019年，某换脸应用程序因其协议中存在存储个人面部生物识别特征信息而被监管部门叫停整改。[6]

相比于《个人信息安全规范》，《识别指南》调整了部分信息类型的表述，如将“面部识别”调整为“人脸”，并增加了“步态”“眼纹”等新类型的信息。

（二）宗教信仰信息

宗教信仰往往代表着一个人独特且鲜明的人生态度与价值观念。在信息时代，个人宗教信仰信息的泄露容易导致该人遭受歧视等人格尊严受损的风险；而部分特殊宗教习俗也可能成为违法分子利用其进行违法犯罪的手段。相比于《个人信息安全规范》中较为概括的规定，《识别指南》将宗教信仰信息具体化为信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动、特殊宗教习俗等内容，有利于实践中具体把握宗教信仰信息的具体内容。

（三）特定身份信息

在比较法上，特定身份信息的范围非常广泛，可以包括自然人基于生物或社会构建而产生的某种身份信息，最典型的特定身份信息包括：民族、种族、工会成员、政党成员、性别身份、犯罪分子身份等信息。当然，并非特定身份信息都属于敏感的个人信息，此处的特定身份主要指对个人人格尊严和社会评价有重大影响的身份信息，特别是那些可能导致社会歧视的特定身份信息。[7]

相比于《个人信息安全规范》，《识别指南》将特定身份信息限缩为两类：一是残障人士身份信息，二是不适宜公开的职业身份信息。后者的正式稿中删除了征求意见稿中有关军人、警察等职业身份的举例，某种程度上可以理解着为不宜对某些职业进行“一刀切”式的判断，而应具体地进行个案衡量。

（四）医疗健康信息

《识别指南》将医疗健康信息分为两类，一是与个人的身体或心理的伤害、疾病、残疾、疾病风险或隐私有关的健康状况信息，二是在疾病预防、诊断、治疗、护理、康复等医疗服务过程中收集和产生的个人信息。这些信息往往被各种医院、美容机构、医疗保险公司等组织所收集，表现为住院日志、医嘱单、检验报告、手术及麻醉记录、病理资料、护理记录等病历资料。此类信息一旦泄露或非法使用，极容易对个人的人格尊严和生命健康造成损害，故此，属于敏感的个人信息。

相比于《个人信息安全规范》，《识别指南》所列举的医疗健康信息要相对更广，不仅涉及个人因生病医治等产生的相关记录，还涉及疾病预防、体验（如检验报告、检查报告）等过程中产生的个人信息。

（五）金融账户信息

此类信息是《识别指南》相对于《个人信息安全规范》限缩的较为明显的领域。在《个人信息安全规范》中较为相近的类型是“个人财产信息”。由于“个人财产信息”中的很多字段只能标识信息主体所拥有财产的类型和多寡，并一定会对其权益带来直接的风险，《识别指南》依照《个人信息保护法》的分类，将相关信息列举为一旦泄露容易直接导致信息主体财产损失的金融账户的账号及密码以及基于账户信息产生的支付标记信息、个人收入明细等个人信息，从而在某种程度上将《个人信息安全规范》中所列举的房产信息、信贷记录、交易和消费记录、流水记录、虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息排除在敏感个人信息之外，减轻了相关个人信息处理者的合规负担。

（六）行踪轨迹信息

行踪轨迹信息也称为“行踪信息”[8]或“行踪轨迹”[9]，是个人在一定期间内因为所处具体地理位置、活动地点和活动轨迹的移动变化而形成的连续轨迹信息。既包括实时的位置信息，也包括移动的轨迹。[10]上述信息与个人人身安全密切相关，一旦被泄露或非法使用，可能为不法分子进行敲诈勒索、盗窃抢劫等违法行为提供便利条件。

对于某些特定行业而言，其因工作而产生的行踪轨迹信息需要被实时记录，因而，《识别指南》规定，特定职业（外卖员、快递员等）用于实现服务履约场景下产生的行踪轨迹信息应排除在敏感个人信息之外。同时，通过调用个人手机精准位置权限采集的位置信息是精准定位信息，通过IP地址等测算的粗略位置信息不是精准定位信息，因而，连续采集通过IP地址等测算的粗略位置而形成的“轨迹信息”应不属于敏感个人信息。

（七）不满十四周岁未成年人个人信息

不满14周岁未成年人的个人信息可以理解为儿童个人信息。[11]由于信息主体的特殊性，其涵盖的范畴较广，包括儿童的姓名、年龄等一切个人信息，因而，无论是《个人信息安全规范》，还是《识别指南》，都没有对这一类型的敏感个人信息进行进一步列举。

（八）其他敏感个人信息

在《个人信息保护法》的起草过程中，不少人建议在敏感个人信息的范围中增加性生活、诉讼记录、犯罪前科等类型的信息，但《个人信息保护法》毕竟无法逐一列举所有的敏感个人信息，故此《个人信息保护法》第28条第1款使用了“等信息”作为兜底。

相比于《个人信息安全规范》，《识别指南》在此类敏感个人信息的列举上有几个值得关注的改变：一是删除了《个人信息安全规范》中所列举的通信记录和内容、通讯录、好友列表、群组列表、网页浏览记录、住宿信息等内容，这些信息是诸多App运营者涉及的最主要的敏感个人信息类型，其敏感性也在司法案例[12]中被充分探讨；二是将《个人信息安全规范》列入“个人身份信息”中的“身份证”调整到本分类，并明确为“身份证照片”；三是增加了“性生活”的表述；四是将“犯罪记录信息”明确为“我国国家专门机关对犯罪人员的客观记载，如罪名、刑罚等记录”，并删除了“未公开的”条件以及“违法”记录的表述；五是增加了展示个人身体私密部位的照片或视频信息。

三

可能的影响及合规建议

《识别指南》在《个人信息保护法》的基础上对敏感个人信息的识别进行了细化。相对于《个人信息安全规范》，《识别指南》更加符合上位法的原则和精神，更便于企业在合规过程中参照。但其仍存在一些问题，有待立法机关和监管机关后续明确。例如，关于犯罪记录信息是否可以一概识别为敏感个人信息就值得商榷。一般而言，法院作出的裁判文书除非涉及国家秘密、未成年人犯罪等例外情形的，应当予以公开，因此犯罪记录信息在很多情况下属于《个人信息保护法》第27条规定的“已经合法公开的个人信息”，不宜作为敏感个人信息进行特别保护。同时，《识别指南》以团体标准而非国家标准的形式发布，表明其具有一定的探索性和延展性。

基于上述理解，我们建议企业参照《识别指南》中“单项识别+综合判断+法规规定”的路径对企业的个人信息处理行为进行重新梳理。

第一，单项识别。在这一过程中，企业应对照《识别指南》附录A中常见敏感个人信息类别示例字段对自身收集处理的个人信息字段进行排查，尤其是《个人信息安全规范》中未包含而《识别指南》中新增的字段。

第二，综合判断。在这一过程中，企业应跳出对单个字段的分析，综合考量自身掌握的多项一般个人信息汇聚或融合后的整体属性，分析其一旦泄露或非法使用可能对个人权益造成的影响，如果容易造成《识别指南》第3条a）所提及的风险，则应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。

第三，法规规定。敏感个人信息的认定与保护应当充分考虑企业所在的行业属性，对于某些强监管领域的企业而言，应当参考本行业的相关规范。例如，涉及金融领域的敏感个人信息的识别和保护，应当结合《中国人民银行金融消费者权益保护实施办法》对于消费者金融信息的界定，[13]亦应参照中国人民银行分别于2020年9月23日和2021年4月8日发布并实施了两个行业标准：JR/T 0197—2020《金融数据安全 数据安全分级指南》和JR/T 0223—2021《金融数据安全 数据生命周期安全规范》。同时，涉及到特定类型的敏感个人信息的识别和保护，还应当结合相应的国家标准。例如，涉及生物特征识别信息，还应当参考如下国家标准：

总之，敏感个人信息的识别规则会随着科技进步和社会环境的改变而发展，企业应当随时关注立法机关和监管机关的后续规定和实践，以实现合规发展。

●注释：

[1]如美国《加州消费者隐私法》（California Consumer Privacy Act, CCPA）关于"Sensitive Personal Information"的定义，Cal. Civ. Code § 1798.140(ae): This section defines "Sensitive Personal Information" under the CPRA, which includes information such as social security numbers, precise geolocation, racial or ethnic origin, religious beliefs, genetic data, and more.

[2]如欧盟在《通用数据保护条例》（General Data Protection Regulation, GDPR）关于“special categories of personal data”的定义，GDPR Article 9: This article specifies the prohibition on the processing of special categories of personal data, such as data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, genetic data, biometric data (for the purpose of uniquely identifying an individual), health data, or data concerning a person’s sex life or sexual orientation.

[3]《个人信息安全规范》中的表述为“个人敏感信息”，为方便起见，本文统一表述为“敏感个人信息”。

[4]周汉华、周辉：《〈中华人民共和国个人信息保护法〉条文精解与适用指引》，法律出版社2022年版，第206页。

[5]程啸：《〈个人信息保护法〉理解与适用》，中国法制出版社2021年版，第258页。

[6]http://media.people.com.cn/n1/2019/0905/c40606-31337191.html。

[7]杨合庆：《〈个人信息保护法〉导读与释义》，中国民主法制出版社2022年版，第91页。

[8]如《民法典》第1034条第2款规定。

[9]如《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定。

[10]雷澜珺：《论侵犯公民个人信息罪中行踪轨迹信息的认定》，载《中国检察官》2020年底2期。

[11]周汉华、周辉：《〈中华人民共和国个人信息保护法〉条文精解与适用指引》，法律出版社2022年版，第209页。

[12]参见北京互联网法院（2019）京0491民初16142号民事判决书。

[13]《中国人民银行金融消费者权益保护实施办法》第28条第1款规定，本办法所称消费者金融信息，是指银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息，包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。

本文作者